Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'NTDLL' = '%APPDATA%\NT_TCP\NTLDR.exe'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /im taskmgr.exe /f
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\nt_tcp\ntldr.exe
Удаляет следующие файлы
- %WINDIR%\syswow64\taskmgr.exe
Сетевая активность
Подключается к
- '14#.#85.221.17':14955
UDP
- DNS ASK google.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im taskmgr.exe /f' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c takeown /f <SYSTEM32>\taskmgr.exe' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im taskmgr.exe /f
- '%WINDIR%\syswow64\cmd.exe' /c takeown /f <SYSTEM32>\taskmgr.exe
- '%WINDIR%\syswow64\takeown.exe' /f <SYSTEM32>\taskmgr.exe
